| 上一篇文章 :: 下一篇文章 |
| 發表人 |
內容 |
zxr
三段
註冊時間: 2003-01-02
文章: 59
來自: 台灣 , 中華民國
|
 發表於: 星期一 四月 12, 2004 10:34 am 文章標題: 擋不住的病毒信? |
 |
|
這封信沒辦法利用RDMailD的真人認證機制來擋...
我已經查過了,使用者的白名單中無此信箱,但是他還是直接寄進來了
X-Symantec-TimeoutProtection: 0
Received: from localhost([203.75.66.26]) by RaidenMAILD([211.23.29.130]); Sun, 11 Apr 2004 22:44:39 +0800
From: admin@mail.haber.com.tw
To: Yu <yu@mail.haber.com.tw>
Reply-To: admin@mail.haber.com.tw
X-Mailer: The Bat! (v1.61)
X-Priority: 2 (High)
Subject: your account amiqoefo
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------581C995000347A4"
_________________
---Server Hardware---
CPU = Piii-800Mhz
RAM = ECC SDRAM 1GB (512MB x 2)
HDD = UW-SCSI 2GB -> OS
HDD = Raid5 UW-SCSI 335GB (120GB IDE x 4) -> Data
NIC = Intel 82559
NIC = 3Com 3c905tx
VGA CARD = TNT2 Ultra AGP |
|
| 回頂端 |
|
 |
Arnor
究極の素還尊
註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN
|
| 發表於: 星期一 四月 12, 2004 3:23 pm 文章標題: Re: 擋不住的病毒信? |
|
|
| zxr 寫到: | 這封信沒辦法利用RDMailD的真人認證機制來擋...
我已經查過了,使用者的白名單中無此信箱,但是他還是直接寄進來了
X-Symantec-TimeoutProtection: 0
Received: from localhost([203.75.66.26]) by RaidenMAILD([211.23.29.130]); Sun, 11 Apr 2004 22:44:39 +0800
From: admin@mail.haber.com.tw
To: Yu <yu@mail.haber.com.tw>
Reply-To: admin@mail.haber.com.tw
X-Mailer: The Bat! (v1.61)
X-Priority: 2 (High)
Subject: your account amiqoefo
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------581C995000347A4" |
因為寄件人網域在本伺服器網域內.
這種的條件不能算進Reverse Checking 內...
因為這樣會有問題(變成會對自己人每個都做Reverse Checking,
想當然一定過不了....)
這樣有給它了解嗎?
白話來說就是:
我是你伺服器的使用者, 我用的就是你伺服器的email domain 在寄信,
若你連我都做Reverse Checking (把我client user 當成 mail server) 就會把我拒絕了, 因為client user 是不可能通過reverse checking 的(因不是server).
這種病毒信其實在通用的過濾器就會被濾掉了 ...
your account 就是關鍵字了呦.
這就是SoBig 的病毒的樣子.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/ |
|
| 回頂端 |
|
|
zxr
三段
註冊時間: 2003-01-02
文章: 59
來自: 台灣 , 中華民國
|
| 發表於: 星期二 四月 13, 2004 9:09 am 文章標題: Re: 擋不住的病毒信? |
|
|
| Arnor 寫到: | | zxr 寫到: | 這封信沒辦法利用RDMailD的真人認證機制來擋...
我已經查過了,使用者的白名單中無此信箱,但是他還是直接寄進來了
X-Symantec-TimeoutProtection: 0
Received: from localhost([203.75.66.26]) by RaidenMAILD([211.23.29.130]); Sun, 11 Apr 2004 22:44:39 +0800
From: admin@mail.haber.com.tw
To: Yu <yu@mail.haber.com.tw>
Reply-To: admin@mail.haber.com.tw
X-Mailer: The Bat! (v1.61)
X-Priority: 2 (High)
Subject: your account amiqoefo
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------581C995000347A4" |
因為寄件人網域在本伺服器網域內.
這種的條件不能算進Reverse Checking 內...
因為這樣會有問題(變成會對自己人每個都做Reverse Checking,
想當然一定過不了....)
這樣有給它了解嗎?
白話來說就是:
我是你伺服器的使用者, 我用的就是你伺服器的email domain 在寄信,
若你連我都做Reverse Checking (把我client user 當成 mail server) 就會把我拒絕了, 因為client user 是不可能通過reverse checking 的(因不是server).
這種病毒信其實在通用的過濾器就會被濾掉了 ...
your account 就是關鍵字了呦.
這就是SoBig 的病毒的樣子. |
感謝大大的回覆 
順便請問一下,對方的這個方式,可以用Reverse Checking方式來剔除嗎?
_________________
---Server Hardware---
CPU = Piii-800Mhz
RAM = ECC SDRAM 1GB (512MB x 2)
HDD = UW-SCSI 2GB -> OS
HDD = Raid5 UW-SCSI 335GB (120GB IDE x 4) -> Data
NIC = Intel 82559
NIC = 3Com 3c905tx
VGA CARD = TNT2 Ultra AGP |
|
| 回頂端 |
|
|
awia0002
六段
註冊時間: 2002-04-19
文章: 135
來自: 台灣 , 中華民國
|
| 發表於: 星期二 四月 13, 2004 9:52 am 文章標題: ..... |
|
|
建議你...在MAIL SERVER上加上防毒軟體 過濾來往的信件 如PCC. NORTON. AVP. 等等 這些病毒信就比較不會跑進來 管理上會輕鬆的多喔....
MAILD 如何配合防毒軟體的使用 論壇上也不少文章 可以翻一翻...
_________________
*有問題請附上詳細網域跟資訊會更快了解你的問題
你的問題搞不好已經有人問過.不妨先用"搜尋"會更快解決你的問題*
# 作業系統WinXP
# 是否使用 NAT 否
# 是否使用防火牆軟體 [ ] 是 [ PCC2004]
# 是否使用防毒軟體 [ ] 是 廠牌 PCC2004
# 使用網路 seednet 2m/384 dhcp
# 若與 FTP CLIENT 有關連 , 使用之 FTP CLIENT 種類 [ ffftp] , 版本 [ 1.92]
MAILD 1.9063
FTPD 2.4v 1230
HTTPD v1.077a
DNSD 1.201 |
|
| 回頂端 |
|
|
Arnor
究極の素還尊
註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN
|
| 發表於: 星期二 四月 13, 2004 10:46 am 文章標題: Re: 擋不住的病毒信? |
|
|
| zxr 寫到: | | Arnor 寫到: | | zxr 寫到: | 這封信沒辦法利用RDMailD的真人認證機制來擋...
我已經查過了,使用者的白名單中無此信箱,但是他還是直接寄進來了
X-Symantec-TimeoutProtection: 0
Received: from localhost([203.75.66.26]) by RaidenMAILD([211.23.29.130]); Sun, 11 Apr 2004 22:44:39 +0800
From: admin@mail.haber.com.tw
To: Yu <yu@mail.haber.com.tw>
Reply-To: admin@mail.haber.com.tw
X-Mailer: The Bat! (v1.61)
X-Priority: 2 (High)
Subject: your account amiqoefo
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------581C995000347A4" |
因為寄件人網域在本伺服器網域內.
這種的條件不能算進Reverse Checking 內...
因為這樣會有問題(變成會對自己人每個都做Reverse Checking,
想當然一定過不了....)
這樣有給它了解嗎?
白話來說就是:
我是你伺服器的使用者, 我用的就是你伺服器的email domain 在寄信,
若你連我都做Reverse Checking (把我client user 當成 mail server) 就會把我拒絕了, 因為client user 是不可能通過reverse checking 的(因不是server).
這種病毒信其實在通用的過濾器就會被濾掉了 ...
your account 就是關鍵字了呦.
這就是SoBig 的病毒的樣子. |
感謝大大的回覆
順便請問一下,對方的這個方式,可以用Reverse Checking方式來剔除嗎? |
ㄟ.
阿我上面的意思不就是說不行的呀...
除非你的smtp server 只收外界寄進來的信, 我才敢做成"每一連線"都檢查,
目前來說不可能, 因為你有使用者要寄信需透過 SMTP SERVER .
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/ |
|
| 回頂端 |
|
|
pcc
一級
註冊時間: 2004-01-15
文章: 28
來自: 中華民國
|
| 發表於: 星期二 四月 27, 2004 6:07 pm 文章標題: Re: 擋不住的病毒信? |
|
|
白話來說就是:
我是你伺服器的使用者, 我用的就是你伺服器的email domain 在寄信,
若你連我都做Reverse Checking (把我client user 當成 mail server) 就會把我拒絕了, 因為client user 是不可能通過reverse checking 的(因不是server).
===============================
請教一下了--連續2天也收到此類病毒信
有點疑問請教
LOG ====================
2004/04/27:09:33:30 SMTP 211.20.132.150 HELO localhost
2004/04/27:09:33:34 SMTP 211.20.132.150 MAIL FROM:<admin@addnet.net>
2004/04/27:09:33:40 SMTP 211.20.132.150 RCPT TO:<passager@addnet.net>
2004/04/27:09:33:46 SMTP 211.20.132.150 DATA
2004/04/27:09:34:15 SMTP 211.20.132.150 QUIT
=======================================
[2004/4/27 上午 09:33:22] SMTP 服務接受從 211.20.132.150 來的連線
[2004/4/27 上午 09:33:46] 211.20.132.150 要求 SMTP 服務 - 寄信人是 admin@addnet.net
[2004/4/27 上午 09:34:10] 211.20.132.150 - 郵件內容已收到 (To:passager@addnet.net) 34858 bytes ( 1.8 KB/s)
[2004/4/27 上午 09:34:15] SMTP 服務中斷從 211.20.132.150 來的連線
[2004/4/27 上午 09:34:15] 儲存郵件到 <passager> 的信箱, 檔名為 _20040427093340-39429567-4076.eml 34967bytes
=========================================
如果他是正常使用者寄信不是要通過SMTP AUTH嗎?
好比===LOG=============
2004/04/26:23:49:43 SMTP 210.68.107.114 EHLO wuallysageb11l
2004/04/26:23:49:43 SMTP 210.68.107.114 AUTH LOGIN
2004/04/26:23:49:44 SMTP 210.68.107.114
如果以SERVER連線那就沒AUTH權限
不是也要通過Reverse Checking那是如何通過的呢?
換句話說
是否如果我要寄給TEST@HOYA.COM
只要我的寄件人地址是admin@HOYA.COM他就會當成
【我是你伺服器的使用者】,就不會檢查或權限了嗎?
小第不才,尚請指點,謝謝。 |
|
| 回頂端 |
|
|
Arnor
究極の素還尊
註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN
|
| 發表於: 星期二 四月 27, 2004 7:55 pm 文章標題: Re: 擋不住的病毒信? |
|
|
| pcc 寫到: | 白話來說就是:
我是你伺服器的使用者, 我用的就是你伺服器的email domain 在寄信,
若你連我都做Reverse Checking (把我client user 當成 mail server) 就會把我拒絕了, 因為client user 是不可能通過reverse checking 的(因不是server).
===============================
請教一下了--連續2天也收到此類病毒信
有點疑問請教
LOG ====================
2004/04/27:09:33:30 SMTP 211.20.132.150 HELO localhost
2004/04/27:09:33:34 SMTP 211.20.132.150 MAIL FROM:<admin@addnet.net>
2004/04/27:09:33:40 SMTP 211.20.132.150 RCPT TO:<passager@addnet.net>
2004/04/27:09:33:46 SMTP 211.20.132.150 DATA
2004/04/27:09:34:15 SMTP 211.20.132.150 QUIT
=======================================
[2004/4/27 上午 09:33:22] SMTP 服務接受從 211.20.132.150 來的連線
[2004/4/27 上午 09:33:46] 211.20.132.150 要求 SMTP 服務 - 寄信人是 admin@addnet.net
[2004/4/27 上午 09:34:10] 211.20.132.150 - 郵件內容已收到 (To:passager@addnet.net) 34858 bytes ( 1.8 KB/s)
[2004/4/27 上午 09:34:15] SMTP 服務中斷從 211.20.132.150 來的連線
[2004/4/27 上午 09:34:15] 儲存郵件到 <passager> 的信箱, 檔名為 _20040427093340-39429567-4076.eml 34967bytes
=========================================
如果他是正常使用者寄信不是要通過SMTP AUTH嗎?
好比===LOG=============
2004/04/26:23:49:43 SMTP 210.68.107.114 EHLO wuallysageb11l
2004/04/26:23:49:43 SMTP 210.68.107.114 AUTH LOGIN
2004/04/26:23:49:44 SMTP 210.68.107.114
如果以SERVER連線那就沒AUTH權限
不是也要通過Reverse Checking那是如何通過的呢?
換句話說
是否如果我要寄給TEST@HOYA.COM
只要我的寄件人地址是admin@HOYA.COM他就會當成
【我是你伺服器的使用者】,就不會檢查或權限了嗎?
小第不才,尚請指點,謝謝。 |
喔, 你就把它想成有一個人要寄信給你server 上的使用者,
那你server 就一定要收他信吧, 這個是不用要寄件人提供驗證的,
因為這個寄件人可能是一台 mail server...怎麼可能做驗證..
再來, 收信進來若寄件人發現是該server 服務的網域, reverse checking
不能對它做 IP 檢查, 因為既自稱是你的user, 就不能對它做reverse checking.
很可惜, 它不是, 所以就進來了.
除非, 能把25 port 改成"完全只收外來信" 的服務, 不服務使用者寄信,
使用者寄信靠別的port (例: 26 之類), 這樣才能在 25 port 架起"每個IP都檢查的
防護機制"
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/
素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/ |
|
| 回頂端 |
|
|
HAHAHA
獅王
註冊時間: 2001-11-23
文章: 725
來自: 台灣 , 中華民國
|
|
| 回頂端 |
|
|
|
|
您 無法 在這個版面發表文章
您 無法 在這個版面回覆文章
您 無法 在這個版面編輯文章
您 無法 在這個版面刪除文章
您 無法 在這個版面進行投票
|
Powered by phpBB © 2001-2007 phpBB Group
 |
